最終更新日：2018/03/04

新年早々Yahooのトップを飾ってしまったので、情シス部門の方々はお祭り騒ぎになりそうですね。(という私も同業者です。。)

まだ情報も錯綜しているようですが、IntelCPU等の脆弱性「Meltdown(メルトダウン)」と「Spectre(スペクター)」に対しての個人的に纏めた備忘録です。

タイトルがIntelCPU等となっていますが、MeltdownはIntelCPUのみですが、Spectreはそれ以外（AMD,ARM等）のCPU等も対象です。

あくまでも業務には関連しますが（個人的な）’まとめですので、利用は自己責任でお願いします。

Meltdown(メルトダウン)」と「Spectre(スペクター)」

参考サイト：Meltdown and Spectre
詳細説明　：Google Project Zero

　日本語Wiki：Spectre

●Meltdown
・Intel製CPUのみ（※1995年以降のCPU）

●Spectre

・Intel・AMD・ARMなどのすべてのプロセッサが対象

　　　　　又、PC（含むサーバー）だけで無く、AndroidやiOS、仮装化環境（VM,Xen等）等も含む

---

脆弱性を利用し、機密情報にアクセス可能
具体的には次の通り

●Meltdown
　アプリケーションが任意のシステムメモリにアクセスできないようにする仕組みを破壊し、
アクセス可能にする。

●Spectre
　他のアプリケーションから自分のメモリ内の任意の場所にアクセスするように仕向け、その内容を参照可能にする。

　
３）ARM
　・Vulnerability of Speculative Processors to Cache Timing Side-Channel Mechanism

　
４）NVIDIA
　・NVIDIA's response to speculative side channels CVE-2017-5753, CVE-2017-5715, and CVE-2017-575

但し、前回やらかしているので、適用には十分注意した方が良いかも知れません。


2018/01/23 追記
1)Intel製CPUでも再起動を繰り返す不具合がありました。
・Intel、脆弱性対処でHaswell/Broadwellシステムが予期せぬ再起動をする原因を特定(PC Watch)
　記事によれば、Haswell(第4世代)およびBroadwell(第5世代)CPUとの事ですが、私のVersaPro(VK26M/B-F)も似たような事象が発生しています。
　来週には対策済みのパッチが出るそうですが、どうでしょうかね？

2018/01/30 追記
2)MicrosoftのTechnetで本件に関する情報が纏められていました。
○Microsoftからの情報(AMD関係の不具合情報)

・Windows operating system security update block for some AMD based devices
・After installation of KB4056892 boot failure, after roll-back error 0x800f0845
・STOP: 0x000000C4 after installing KB4056894 - 2018-01 Security Monthly Quality Rollup for WIndows 7 for x64

AMDのCPUを使用しているPC等を使用している場合は、上記内容を確認の上、該当パッチの適用とセキュリティリスクを十分考慮・判断して対応する事を推奨します。
尚、マイクロソフトからAMDのCPU機器には該当パッチの配信について一時中断されています。

2018/03/04 追記


１）Windows（Microsoft）

　・セキュリティ更新プログラムを提供

　但しWindows10が先で、旧OS（Windows7や8等）は後回しの可能性がある
　サーバーOSは別途確認
　→2018/01/05　提供開始

　※2018/01/05追記、2018/01/06修正
　緩和策として、対Meltdown用セキュリティパッチ（KB4054517等）が公開

　具体的にはEdgeとInternet Explorer 11を修正し、脆弱性を利用してPCのメモリからデータを盗み取ることを困難にさせる等の対策

　○Windows Update Catalog(Windows7/Server 2008系)
　※ServerOSはR2のみ
　※Windows Updateでも可能にする予定？
　※2018/01/05 22:30時点で、Windows Updateに対象KBは無し
　Windows Update Catalog（KB4056897）


　○Windows Update Catalog(Windows8.1/Server 2012系)
　※ServerOSはR2のみ
　※Windows Updateは2018/01/10頃
　Windows Update Catalog（KB4056898）

　○Windows Update Catalog(Windows10/Server 2016系)
　※バージョンによって対象が異なる
　※Windows Updateでも可能
　※2018/01/05 22:30時点で、Windows Updateに対象KBを確認（KB4056892のみ）

３）Android （+Crome等Google関連）
　○Android

　最新セキュリティパッチの状態であれば問題ない  

　○Crome
　最新のVer 63で対応済み

　Google関連の統合情報は以下を参照
　・Google’s Mitigations Against CPU Speculative Execution Attack Methods


４）仮装化環境（ホストOS）
　VMWare(ESX)、Xen、Citrix等も影響がある
　○VMWare(ESX)
　・VMware Security Advisories(VMSA-2018-0004)
　　vCenter Server、ESXi5.5～6.5、Workstation、Fusion等
　　※「CVE-2017-5715」系で詳細は上記リンクを参照

　　※「VMSA-2018-0004」がリンクはそのままで「VMSA-2018-0004.2」に更新されています。(※2018/01/14　情報追加)

　　　概要は、ESXi(5.5～6.5)系で一部のインテルCPU(第4世代Haswell、第5世代Broadwellや一部のxeonプロセッサー)の(マイクロコード)パッチが、「VMSA-2018-0004」で追加したものが悪さをする様です。

　　　詳細は、以下にKB(52345)が発行されていますので確認下さい。
　　　・Intel Sightings in ESXi Bundled Microcode Patches for VMSA-2018-0004 (52345)

　・VMware Security Advisories(VMSA-2018-0002)

　　ESXi(V5.5)
　　→「CVE-2017-5715」のみ対応

　　ESXi(V6.0、V6.5)
　　→「CVE-2017-5753」「CVE-2017-5715」へ対応

　　Workstation 12.x 　○Xen、Citrix
　・Xen(Xen Project Spectre/Meltdown FAQ)

　・Xen(Information(XSA-254))
　・Citrix Security Updates for CVE-2017-5715, CVE-2017-5753, CVE-2017-5754

５）その他
　・JPCERT/CC
　　　JVNVU#93823979 投機的実行機能を持つ CPU に対するサイドチャネル攻撃

　・JVN(脆弱性対策情報ポータルサイト)
　　　VNVU#93823979 投機的実行機能を持つ CPU に対するサイドチャネル攻撃

　・情報処理推進機構(IPA)
　　情報無し

　・経済産業省(METI)
　　情報無し

６）Apple
　・Meltdown及びSpectreの情報検索結果

　・About speculative execution vulnerabilities in ARM-based and Intel CPUs
　・About the security content of macOS High Sierra 10.13.2, Security Update 2017-002 Sierra, and Security Update 2017-005 El Capitan

　　Meltdown："iOS 11.2"、"macOS 10.13.2"、"tvOS 11.2"で対応（緩和策を公開済）
　　Spectre　：ブラウザ（Safari）とWebKitについては、"macOS 10.13.2"に含まれ、
　　　　　　　　Safariのバージョンがv11.0.2(13604.4.7.1.6又は13604.4.7.10.6)となる。

　　　　　　　　尚、”macOS 10.12.6”については、更新プログラムを適用する事で、
　　　　　　　　Safariのバージョンがv11.0.2(12604.4.7.1.6)となる。

　　※”Apple Watch”の影響はSpectreの脆弱性のみ

７）Firefox
　　最新のVer 57.0.4で対応済み
　・Version 57.0.4, first offered to Release channel users on January 4, 2018

　古いプロセッサー程、影響度が増す可能性もある

※2018/01/11 追記
　・Understanding the performance impact of Spectre and Meltdown mitigations on Windows Systems(Microsoft Secure)

　Microsoft Terry Myerson氏によると、性能低下について以下の通り。

　→セキュリティパッチ適用した場合には、速度低下の状況を確認する為、パフォマンス情報を収集・分析する方が良さそう。


　又、適用失敗等の報告や、不具合の情報もあるので検証してからの方が良い。

　・具体的不具合
　　パッチが当らない、一部のウイルス対策ソフトと相性が悪い、適用後の再起動でＯＳが
　　起動しない等（要継続情報収集）
　　→障害の対応策を一部Microsoftが公開
　　例として以下の情報を参照
　　・January 3, 2018—KB4056892 (OS Build 16299.192)

　→影響度を考慮し、テスト機や予備機等で適用テストを実施する方向の方が良い

●Spectre
　現在のところ、処理速度の低下等の情報は無し
　→速度低下の影響は軽微との情報あり

※2018/01/20　追加
　気になる記事を見つけました。
　第2世代(Sundy)～第7世代(Kaby Lake)のCPUでMeltdownとSpectorの対策ファームウェアに更新すると、OSが再起動を繰り返す問題

　・Intel、Sandy BridgeからKaby Lakeのシステムで“再起動問題”が発生中(PC Watch)
　　→対策済みのファームウェアで発生との事だけなので詳細は不明なのですが、またまだ挙動が怪しいですね。
　　　私のテスト機（VK26M/B-F）もパッチの適用に失敗しますし、重要なシステムには十分テストとエラー時のリカバリ方法を準備した方が良さそうです。

セキュリティパッチの適用？
→要検証及び判定等

CPU（ハードウェアの交換）？
→現実問題としては不可・・・

引き続き、ハードメーカ（Intel、AMD等）やOSメーカ（Microsoft、RedHat）等からの情報収集及び、保守契約ルートからの情報収集等

○更新履歴
2018/01/05　情報を追加
2018/01/06　AM7時頃までの情報を追加等

　　　　　　PM6時頃までの情報を追加等

2018/01/08　AM7時頃までの情報を追加等

2018/01/09　AM5時頃までの情報を追加等

　　　　　　PM10時頃までの情報を追加等
2018/01/10　PM10時頃までの情報を追加等
　　　　　　・ハードメーカ（DELL、Lenovo、富士通）の情報追加
　　　　　　・VMware Security Advisories(VMSA-2018-0004)の情報追加
2018/01/11　PM10時頃までの情報を追加等
　　　　　　・NECの情報追加
　　　　　　・性能低下についての情報を追加
2018/01/14　AM6時頃までの情報を追加等
　　　　　　・VMWareの情報を追加
　　　　　　17時頃までの情報を追加等
　　　　　　・KB4056894での不具合確認情報を追加（リンク追加）
2018/01/18　MicrosoftのAMDCPU問題の対応について追加
　　　　　　NECの企業向けPC(デスクトップ/ノート)の対応状況について追加

2018/01/20　ファームウェアの更新をさせるとOSの再起動を繰り返す不具合の情報を追加
2018/01/23　IntelCPUHaswell及びBroadwell()とMicrosoft(Technet)の情報を追加
2018/01/30　・KB4078130の情報を追加（リンク追加）
2018/02/05　MeltdownとSpectorのマルウェア情報を追加
2018/02/22　Intelがマイクロコードの提供を開始した情報を追加
2018/03/04　MicrosoftがSpectre（Variant2）向けの対策パッチ(KB4090007)公開の情報を追加

以上

タグもどき：セキュリティ パッチ 脆弱性